The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

IETF официально вывел из обихода протокол SSLv3

27.06.2015 09:23

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, выпустил RFC-7568, переводящий SSLv3 в разряд устаревших протоколов и предупреждающий, что его применение представляет угрозу безопасности систем. Опубликованный RFC требует прекратить применение SSLv3 и запрещает отправку клиентами и серверами пакетов ClientHello/ServerHello c полями ClientHello.client_version/ ServerHello.server_version со значением {03,00}, а в случае получения подобных пакетов регламентирует необходимость разорвать соединение. Вместо SSLv3 рекомендовано использовать TLSv1.2 (RFC 5246).

Напомним, что SSLv3 был скомпрометирован осенью прошлого года, после выявления атаки POODLE (CVE-2014-3566), которая позволяет атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0. С тех пор поддержка SSLv3 была отключена по умолчанию в браузерах и некоторых серверных системах, но оставалась проблема с обеспечением совместимости с устаревшими системами и возможность совершения атак, вызванных откатом соединения на SSLv3. Официальный запрет применения SSLv3 на уровне интернет-стандарта призван решить данные проблемы и стимулировать полное исключение SSLv3 из обихода.

  1. Главная ссылка к новости (http://www.ietf.org/mail-archi...)
  2. OpenNews: Опубликованы RFC для HTTP/2 и ChaCha20/Poly1305
  3. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  4. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  5. OpenNews: Уязвимость в SSLv3 может использоваться и для атаки на некоторые сайты с TLS
  6. OpenNews: Новая атака на SSL/TLS, позволяющая организовать перехват HTTPS-трафика
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42514-ietf
Ключевые слова: ietf, ssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:37, 27/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    На очереди, я полагаю, TLS? Когда уже начнут переходить на эллиптическую криптографию. Это я как аноним, который в криптографии вообще не разбирается, спрашиваю.
     
     
  • 2.2, ruata (?), 11:42, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Какие шифры использовать определяют клиент и сервер при установке защищенного канала
    И для этого достаточно уже TLS1.0
    ECDHE_RSA_WITH_AES_128_CBC_SHA
    ECDHE_RSA_WITH_AES_128_CBC_SHA256
    ECDHE_RSA_WITH_AES_128_GCM_SHA256
     
     
  • 3.5, Аноним (-), 12:31, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ага, с NSAшными кривыми по переусложненному протоколу. Будет вам безопасность - пробурчало NSA...
     
  • 2.4, anonim34 (?), 12:11, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >эллиптическую криптографию

    если строго, то можно сказать, что такой не бывакт. Ну а нестрого - именно она и используется уже давно :)

     
  • 2.6, Аноним (-), 12:49, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    TLS протокол
    Эллиптические кривые (Elliptic Curve Cryptography (ECC)) способ обмена ключами в открытом пространстве.

    Иди учись школьник.

     
     
  • 3.7, NickFaces (ok), 15:49, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы правда считаете, что человек не разбирающийся в каком то вопросе - обязательно школьник?
     
     
  • 4.16, Аноним (-), 23:41, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не обязательно. Зато человек не разбирающийся, но имеющий наглость что-то вякать по теме - школьник совершенно определённо.
     
     
  • 5.19, Аноним (-), 01:20, 28/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, не обязательно. Зато человек не разбирающийся, но имеющий наглость что-то вякать по теме - школьник совершенно определённо.

    Э, да ты оптимист. Ничего, подрастёшь — увидишь.

     
     
  • 6.32, arisu (ok), 03:05, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Нет, не обязательно. Зато человек не разбирающийся, но имеющий наглость что-то вякать по теме - школьник совершенно определённо.
    > Э, да ты оптимист. Ничего, подрастёшь — увидишь.

    то, что кого‐то устали держать в школе и выгнали оттуда (вежливо мотивировав это выслугой лет), не превращает его автоматически из школоло в человека.

     
  • 5.40, torvn77 (ok), 18:42, 05/07/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сброшу ка я 2,5 десятка годочков.
     
  • 4.39, scorry (ok), 22:04, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно. «Школьник» всего лишь вежливая форма слова «недоучка».
     
  • 2.30, Аноним (-), 15:48, 28/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Держи список хороших алгоритмов:

    openssl ciphers -v -V |grep TLS |grep Kx=ECDH |grep Au=EC |grep -v 128

     

  • 1.3, Аноним (-), 12:09, 27/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все слишком slow. Бюрократично и эпично - тормозное не нужно. В том же IO::Socket::SSL Steffen Ullrich отключил SSLv3 по умолчанию еще 15 октября 2014 в ответ на публикацию от 14 октябра 2014.

    Как там дела сейчас с POODLE и TLS ?

    ps: интересно отследить даты когда некрософт выкатывала апдейты закрывающие эту уязвимость: уже не в 1 раз замечаю что чем "свежее" некро софт - тем позже закрывается уязвимость

     
     
  • 2.14, Аноним (-), 19:23, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    интереснее другое - что сайты более половины Fortune 5000-компаний с TLSv1.2 рекомендованным(обоснованно)не дружат, как и наши мэйл.ру, касперский и часть ресурсов яндекса итд итп.
    чего уж говорить про "человеческий" TLSv1.3 который "вот-вот" и которого уже все заждались(тк там вынесли 2/3 самого явного/опасного).
     
     
  • 3.15, Аноним (-), 19:24, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    и да, этот список - включает и все(!) сайты Microsoft, к сожалению.
     
  • 2.33, arisu (ok), 03:08, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Все слишком slow. Бюрократично и эпично - тормозное не нужно.

    именно. мутная система с «доверием» неким «удостоверяющим центрам», которые вообще никак и ни за что не отвечают, максимум: «ну ок, нам стыдно. может, даже, закроем этот филиал и новый откроем, лохи‐то всё равно деньги за воздух несут» вообще не нужна.

     
     
  • 3.37, Аноним (-), 16:49, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ваши предложения? Просто поныть на форуме? Ну окай ....
     
     
  • 4.38, arisu (ok), 16:53, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    тебе‐то какой интерес, таракан? тебе расписывай, не расписывай — ты всё равно там сможешь максимум знаки препинания посчитать.
     

  • 1.11, Аноним (-), 16:11, 27/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    WindowsXP перестанет грузить сайты
     
     
  • 2.12, Аноним (-), 16:24, 27/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    есть wine который уже совершенее чем xp
     
  • 2.31, тоже Аноним (ok), 00:09, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А с каких это пор сайты грузит ОС, а не браузер?
     
     
  • 3.34, Аноним (-), 04:41, 29/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не переживай ты так - местные клоуны и им подобные вообще без задних мыслей сравнивают Linux (ядро) и windows (операционная система). Не знаю как они, но я на голом ядре не работаю.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру